Juniper防火墙维护手册
目录
1.
日常维护内容.................................................................................................. 4 1.1. 配置主机名 .................................................................................................. 4 1.2. 接口配置 ...................................................................................................... 5 1.3. 路由配置 ...................................................................................................... 6 1.4. 高可用性配置(双机配置) ...................................................................... 8
1.5. 配置MIP(通过图形界面配置) ............................................................ 10 1.6. 配置访问策略(通过图形界面配置) .................................................... 12 2. NetScreen的管理......................................................................................... 16
2.1. 访问方式 .................................................................................................... 16 2.2. 用户 ............................................................................................................ 19 2.3. 日志 ............................................................................................................ 20 2.4. 性能 ............................................................................................................ 21 2.5. 其他常用维护命令 .................................................................................... 23 3. 其他的配置.................................................................................................... 23
1. 日常维护内容
1.1. 配置主机名
NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M
FW-1-M >
1.2. 接口配置
配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。
注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令
set interface接口
名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下:
Ns204 -> set interface ethernet1 zone Trust
Ns204 -> set interface ethernet1 ip 10.243.194.194/29 Ns204 -> set interface ethernet1 nat
Ns204 -> set interface ethernet1 zone Untrust
Ns204 -> set interface ethernet2 ip 202.38.12.23/28 Ns204 -> set interface ethernet1 nat
选择接口后按 Edit 键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:
FW-1-M -> set interface ethernet1/1 zone V1-Unrust FW-1-M -> set interface ethernet1/2 zone V1-Trust
1.3. 路由配置
NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话,不需要在untrust-vr上配置路由。一般应用中,配
Juniper防火墙日常维护手册
